DNSSEC voor een domein instellen¶
Bekijk de instructie-video
DNSSEC is een uitbreiding van het DNS-protocol waarmee u DNS-data kunt ondertekenen om zo het proces van het opzoeken van domeinnamen te beveiligen. Voor algemene informatie over DNSSEC en het gebruik daarvan bezoekt u de website van ICANN en https://tools.ietf.org/html/rfc6781.
Notitie
Ondersteuning voor DNSSEC is beschikbaar in Plesk voor Linux. De extensie Plesk DNSSEC moet in Plesk zijn geïnstalleerd door de hostingprovider.
U kunt het volgende doen om de DNS-gegevens van uw domeinen met DNSSEC te beveiligen:
- Onderteken domeinzones en hef de ondertekening op volgens de DNSSEC-specificaties
- (Optioneel) Geef aangepaste instellingen op voor het genereren van sleutels
- Meldingen ontvangen
- Bekijk en kopieer DS-records
- Bekijk en kopieer DNSKEY-recordsets.
Een domeinzone ondertekenen¶
Om te beginnen met het gebruik van DNSSEC voor uw DNS-zone, ondertekent u deze zone. Plesk ondertekent de zone met automatisch gegenereerde handtekeningen aan de hand van twee paar asymmetrische sleutels: de Key Signing Key (KSK) en de Zone Signing Key (ZSK).
Een domeinzone ondertekenen:
Selecteer het domein onder Websites & domeinen.
Ga naar DNSSEC en klik op De DNS-zone ondertekenen.
Als de zone nog niet eerder is ondertekent, dan vraagt Plesk u om de sleutels te genereren waarmee de handtekening zal worden aangemaakt.
U kunt de standaardwaarden gebruiken of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.
Als u de DNS-zone al eerder hebt ondertekend, dan kunt u kiezen om de eerder aangemaakte sleutels te gebruiken of om nieuwe aan te maken. Als u kiest voor nieuwe sleutels, dan kunt u ofwel de standaardwaarden gebruiken, of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.
Aanbevolen waarden voor de KSK- en ZSK-instellingen:
Een lange sleutel en een lange overgangsperiode voor de KSK.
Steeds wanneer de Key Signing Key wordt bijgewerkt, moet u de DS-records in de bovenliggende zone bijwerken. De aanbevolen waarden helpen u het bijwerken van de DS-records zo min mogelijk noodzakelijk te maken zonder dat dit ten koste gaat van de veiligheid.
Een kortere sleutel en een kortere overgangsperiode voor de ZSK.
De Zone Signing Key wordt automatisch bijgewerkt. De aanbevolen waarden helpen u het systeem minder te belasten zonder dat dit ten koste gaat van de veiligheid.
Aan het eind van de ondertekening procedure toont Plesk de DS-records met de hashes van de Key Signing Keys die zijn gebruikt voor het ondertekenen van de zone.
Kopieer de DS-records naar het klembord en voeg ze vervolgens toe aan de bovenliggende domeinzone. Zie De DS-records in de bovenliggende zone bijwerken hieronder.
De DS-records in de bovenliggende zone bijwerken¶
Als de bovenliggende zone verouderde DS-records bevat, dat zal de domeinnaam niet langer beschikbaar zijn via de DNS-dienst.
U moet de DS-records in de bovenliggende domeinzone handmatig toevoegen of bijwerken in alle gevallen waarbij de DNSSEC-sleutels worden bijgewerkt, te weten:
- U hebt een domeinzone ondertekend met nieuw aangemaakte sleutels.
- Er heeft een KSK (Key Signing Key)-overgang plaatsgevonden.
Plesk stuurt u meldingen en geeft u enige tijd om de DS-records bij te werken - deze tijdperiode staat gelijk aan één KSK-overgangsperiode. In deze periode zijn de eerdere DS-records nog steeds geldig.
Als u de ondertekening van de domeinzone hebt opgeheven moet u de DS-records in de bovenliggende domeinzone handmatig verwijderen.
De DS-records in de bovenliggende zone bijwerken
Voor een domein in Plesk waarvan de bovenliggende domeinzone buiten Plesk wordt beheerd kunt u de DS-records bijwerken bij het bedrijf van de domeinregistratie.
Voor het subdomein van een domein dat in Plesk wordt gehost en waarvan de DNS-zone in Plesk wordt beheerd:
- Ga naar de DNS-instellingen van het bovenliggende domein (Websites & domeinen > ga naar het bovenliggende domein > DNS-instellingen).
- Voeg nieuwe records van het type DS toe (Record toevoegen) en plak de waarden die Plesk weergeeft in het veld DS-records in de DNSSEC-instellingen van het subdomein.
De ondertekening van een domeinzone opheffen¶
Het opheffen van de ondertekening van een domeinzone schakelt de DNSSEC-bescherming voor die zone uit. Het is bijvoorbeeld nodig om de ondertekening van een zone op te heffen als de sleutels zijn gecompromitteerd, waarna u de zone opnieuw moet ondertekenen met nieuwe sleutels.
De ondertekening van een domeinzone opheffen:
- Ga naar Websites & domeinen > selecteer een domein > DNSSEC en klik op Ondertekening opheffen.
- Verwijder de DS-records uit de bovenliggende zone. Het domein zal anders niet functioneren.
Notitie
Als u de ondertekening van een zone opheft, dan worden de sleutels niet uit Plesk verwijderd. U kunt de zone opnieuw ondertekenen met behulp van dezelfde sleutels.
De DNSKEY-records bekijken¶
Het is wellicht nodig de DNSKEY-records op te halen, waarin het openbare deel van de Key Signing Keys die door een domein worden gebruikt is opgeslagen.
DNSKEY-records weergeven:
- Ga naar Websites & domeinen > selecteer een domein > DNSSEC.
- Klik op DNSKEY-records bekijken.